Claude Fable 5安全护栏被/btw命令绕过
原标题:Claude Fable 5 的网络安全防护机制可以通过一条命令 `/btw` 绕过
速览
Claude Fable 5的安全护栏存在漏洞,通过/btw命令可在侧信道中回答被主对话拦截的请求,并将答案fork到正常会话。该漏洞由安全研究员aniziki公开披露,虽非通用越狱,但攻击者能利用侧信道绕过安全策略,使安全边界被悄然移除。
AI 深度解读
背景
Claude 系列模型以其强大的安全护栏(safety guardrails)而闻名,尤其是在处理敏感或潜在恶意请求时,模型会主动拒绝或拦截。然而,安全研究员 aniziki 近日公开披露了一项针对 Claude Code 中 Claude Fable 5 版本的安全绕过技术。该技术利用一个看似无害的命令 /btw,在主对话的安全拦截与侧信道执行之间制造了“执行差距”,使得原本被阻断的请求可以在侧信道中正常获得回答,并进一步被 fork 回主会话环境继续利用。这一发现揭示了当前 AI 安全模型在实现层面存在的结构性漏洞,而非简单的提示词注入。
核心内容
aniziki 发现,在 Claude Code 的 Claude Fable 5 中,/btw 命令本意是允许用户在对话中插入一条附注(side note),该命令运行在一个独立于主对话的侧信道(side channel)环境中。主对话中的安全策略(即安全护栏)会严格过滤恶意或违规请求,但这种过滤机制仅绑定在聊天界面(主对话)上,而没有绑定到底层的工具执行能力本身。
具体攻击路径如下:
- 攻击者首先在主对话中试探边界,例如提出一个可能被安全策略拦截的请求。
- 请求被拦截后,攻击者切换到
/btw侧信道,在同一个会话中重新发出相同的请求。 - 在侧信道环境中,模型会正常回答该请求,因为安全护栏并未覆盖该侧信道。
- 攻击者将侧信道中获得的结果 fork 回主对话环境,从而可以继续利用这些信息或执行后续操作。
整个攻击过程中,模型并不会触发通用的恶意请求检测——它依然会拒绝明显恶意的操作(如直接生成攻击代码),但安全边界已经被悄悄移走。这意味着攻击者可以绕过安全护栏,获取本应被禁止的信息或功能,且不会留下明显的违规痕迹。
关键要点
- 攻击入口:
/btw命令,一个普通的附注插入命令,原本用于非关键用途。 - 核心机制:安全护栏仅绑定在主对话的聊天界面,而未绑定到底层工具的执行能力;侧信道环境独立运行且不受该护栏限制。
- 攻击步骤:主对话试探 → 被拦截 → 侧信道
/btw获取回答 → fork 回主会话继续利用。 - 限制条件:该漏洞并非通用越狱,模型仍会拒绝明显恶意的操作,但侧信道可以绕过针对特定内容的安全策略。
- 暴露风险:攻击者可以利用“执行差距”获取本应被禁止的信息,如内部知识、敏感建议或绕过内容过滤的代码片段,进而可能用于后续攻击。
- 披露来源:安全研究员 aniziki,公开发布于 LINUX DO 社区。
意义与影响
- 安全架构的警示:该漏洞表明,在 AI 系统的安全设计中,仅仅在聊天界面层级实施护栏是不够的。底层工具调用、侧信道、子进程等独立执行路径必须同样被纳入安全策略,否则将形成结构性后门。
- 对 Claude 产品的影响:Claude Code 中的
Claude Fable 5版本作为面向开发者的工具,其安全信任度受到挑战。开发者可能依赖其安全护栏来阻止模型生成危险代码,但该漏洞意味着护栏可能被绕过,从而增加安全审计的复杂性。 - 攻击面的扩大:虽然当前漏洞仅针对特定命令,但它揭示了“侧信道执行”这一普遍风险。类似
/btw的辅助命令(如注释、提示、系统指令)若未统一安全策略,都可能成为绕过点。未来攻击者可能寻找更多侧信道入口。 - 修复方向:需要将安全护栏下沉到模型执行引擎层,而非仅绑定在对话界面。同时,所有侧信道、子进程、工具调用等执行路径都应继承主对话的安全策略,或至少接受独立的同等强度审查。
- 社区反应:该发现引发了关于“AI 安全护栏是否足够坚固”的讨论。由于模型本身拒绝明显恶意请求,但侧信道可绕过内容过滤,这提示安全研究者需要更全面地测试模型所有执行环境,而不仅仅是对话界面。
查看原文 →linux.do
